Berbagi AWS Glue sumber daya menggunakan mode akses hybrid - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Berbagi AWS Glue sumber daya menggunakan mode akses hybrid

Bagikan data dengan orang lain Akun AWS atau prinsipal di lain yang Akun AWS menerapkan izin Lake Formation tanpa mengganggu akses berbasis pengguna Katalog Data yang ada. IAM

Deskripsi skenario - Akun produsen memiliki database Katalog Data yang memiliki akses yang dikontrol menggunakan kebijakan IAM utama untuk Amazon S3 dan AWS Glue tindakan. Lokasi data database tidak terdaftar di Lake Formation. IAMAllowedPrincipalsGrup, secara default, memiliki Super izin pada database dan semua tabelnya.

Memberikan izin Lake Formation lintas akun dalam mode akses hybrid
  1. Pengaturan akun produser

    1. Masuk ke konsol Lake Formation menggunakan peran yang memiliki lakeformation:PutDataLakeSettings IAM izin.

    2. Buka pengaturan Katalog Data, dan pilih Version 4 pengaturan versi Cross account.

      Jika saat ini Anda menggunakan versi 1 atau 2, lihat Memperbarui pengaturan versi berbagi data lintas akun petunjuk tentang memperbarui ke versi 3.

      Tidak ada perubahan kebijakan izin yang diperlukan saat memutakhirkan dari versi 3 ke 4.

    3. Daftarkan lokasi Amazon S3 dari database atau tabel yang akan Anda bagikan dalam mode akses hybrid.

    4. Verifikasi bahwa Super izin ke IAMAllowedPrincipals grup ada di database dan tabel tempat Anda mendaftarkan lokasi data dalam mode akses hibrida pada langkah di atas.

    5. Berikan izin Lake Formation ke AWS organisasi, unit organisasi (OUs), atau langsung dengan IAM kepala sekolah di akun lain.

    6. Jika Anda memberikan izin langsung kepada IAM prinsipal, pilih prinsipal dari akun konsumen untuk menerapkan izin Lake Formation dalam mode akses hybrid dengan mengaktifkan opsi Jadikan izin Lake Formation segera efektif.

      Jika Anda memberikan izin lintas akun ke AWS akun lain, saat Anda memilih akun, izin Lake Formation diberlakukan hanya untuk admin akun tersebut. Administrator danau data akun penerima perlu menurunkan izin dan memilih prinsipal di akun untuk menerapkan izin Lake Formation untuk sumber daya bersama yang berada dalam mode akses hibrid.

      Jika Anda memilih opsi Sumber daya yang cocok dengan LF-tag untuk memberikan izin lintas akun, Anda harus terlebih dahulu menyelesaikan langkah pemberian izin. Anda dapat memilih prinsip dan sumber daya ke mode akses hibrid sebagai langkah terpisah dengan memilih mode akses Hybrid di bawah Izin di bilah navigasi kiri konsol Lake Formation. Kemudian pilih Tambah untuk menambahkan sumber daya dan prinsip yang ingin Anda terapkan izin Lake Formation.

  2. Pengaturan akun konsumen

    1. Masuk ke konsol Lake Formation di https://console.aws.amazon.com/lakeformation/sebagai administrator danau data.

    2. Buka https://console.aws.amazon.com/ram, dan terima undangan berbagi sumber daya. Tab Dibagikan dengan saya di AWS RAM konsol menampilkan database dan tabel yang dibagikan dengan akun Anda.

    3. Buat tautan sumber daya ke database dan/atau tabel bersama di Lake Formation.

    4. Berikan Describe izin pada tautan sumber daya dan Grant on target izin (pada sumber daya bersama asli) ke IAM kepala sekolah di akun (konsumen) Anda.

    5. Berikan izin Lake Formation pada database atau tabel yang dibagikan dengan Anda kepada kepala sekolah di akun Anda. Pilih prinsip dan sumber daya untuk menerapkan izin Lake Formation dalam mode akses hybrid dengan mengaktifkan opsi Jadikan izin Lake Formation segera efektif.

    6. Uji izin Lake Formation kepala sekolah dengan menjalankan contoh kueri Athena. Uji akses AWS Glue pengguna Anda yang ada dengan kebijakan IAM utama untuk Amazon S3 dan AWS Glue tindakan.

      (Opsional) Hapus kebijakan bucket Amazon S3 untuk akses data dan kebijakan utama untuk AWS Glue serta akses data Amazon S3 untuk IAM prinsipal yang Anda konfigurasikan untuk menggunakan izin Lake Formation.